Sistema de Administración de Controles de Seguridad Informática basado en ISO/IEC 27002
Cesar Dario Guerrero Santander
Abstract:
The information security management is an increasingly decision factor in the competitiveness of organizations. Risk management and information assurance are based on the application of international standards such as ISO/IEC 27002. The process of implementation of the standard and its management is facilitated through the use of software that currently is mostly commercial. Language restrictions, little documentation, and limited availability of open software to fit particular requirements of organizations in the Latin-American context, limits the application of the standard and the effectiveness of its use. This paper presents an open software web platform called SGCSI that supports the management of information security controls in accordance with the ISO 27002 standard. After a comparative evaluation of the use of the platform by security experts and trainees, it is shown the effectiveness in the audit about the compliance of the 32 control objectives established by the standard.
In Spanish:
La gestión de la seguridad de la información es un factor cada vez más determinante en la competitividad de las organizaciones. La gestión del riesgo y el aseguramiento de la información se apoyan en la aplicación de normas internacionales como el estándar ISO/IEC 27002. El proceso de implementación de la norma y su gestión permanente se facilita a través del uso de software que en la actualidad es mayoritariamente comercial. La restricción de idioma, poca documentación y limitada disponibilidad de software abierto que se ajuste a requerimientos particulares de organizaciones en el contexto latinoamericano, limita la aplicación de la norma y la efectividad de su uso. Este artículo presenta una plataforma web abierta denominada SGCSI que permite apoyar la gestión de controles de seguridad de la información de acuerdo con el estándar ISO 27002. Tras la evaluación comparativa del uso de la plataforma por parte de expertos y aprendices en seguridad, se pudo evidenciar su efectividad en la auditoria sobre el cumplimiento de los 32 objetivos de control establecidos por la norma.